QilinランサムウェアがFortinet製品の脆弱性を悪用 全世界で攻撃拡大中：セキュリティニュースアラート

脅威グループ「Qilin」が、Fortinet製品の複数の脆弱性を悪用したランサムウェア攻撃を展開していることが分かった。この攻撃キャンペーンは今後、世界中に拡大する可能性がある。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Bleeping Computer」は2025年6月6日（現地時間、以下同）、ランサムウェアグループ「Qilin」（別名：Phantom Mantis）がFortinet製品の重大な脆弱（ぜいじゃく）性を悪用する攻撃を展開していると報じた。

　Qilinは2022年8月に「Agenda」という名称のランサムウェア・アズ・ア・サービス（RaaS）型のオペレーションとして活動を開始したとされている。これまでにダークWebのリークサイトで310件以上の犯行を公表している。

全世界に攻撃が拡大か　Fortinet製品の脆弱性を悪用するランサムウェア

　被害者には、中国の自動車部品大手Yangfeng、米国の出版大手Lee Enterprises、豪州のビクトリア州裁判所サービス局、さらに英国の病理検査機関Synnovisなどが含まれる。特にSynnovisの事例ではロンドンにある複数の主要な国民保健サービス（NHS）病院が影響を受け、数百件の診療や手術が中止に追い込まれている。

　サイバーセキュリティベンダーのPRODAFTによると、QilinはFortinet製品に存在する複数の脆弱性を悪用する部分的に自動化されたランサムウェア攻撃を展開しているという。現在はスペイン語圏の組織を標的としているとみられているが、この攻撃キャンペーンは今後世界中に拡大する可能性がある。

　PRODAFTがBleeping Computerに共有したフラッシュアラートによると、「Phantom MantisはCVE-2024-21762、CVE-2024-55591（ともにCVSS9.6）などのFortiGateの脆弱性を悪用し、複数の組織に対する協調的な侵入キャンペーンを実行している」とされている。

　この攻撃に悪用されている脆弱性の一つであるCVE-2024-55591は、2024年11月にパッチが提供されるまでの間、ゼロデイ脆弱性として他の脅威グループにも利用されており、FortiGateファイアウォールの侵害に使われていた実績がある。「Mora_001」と呼ばれる別のランサムウェアオペレーターもこの脆弱性を使い、「LockBit」グループと関連があるとされるSuperBlackランサムウェアを展開したとForescoutの研究者が報告している。

　2025年2月に修正パッチが提供されているCVE-2024-21762では、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加し、連邦機関に対して2025年2月16日までに「FortiOS」や「FortiProxy」を保護するよう命じていた。しかしThe Shadowserver Foundationはその約1カ月後、15万台近くのデバイスが依然としてCVE-2024-21762に対して脆弱であると発表している。

　Fortinet製品の脆弱性はしばしばゼロデイとして利用され、サイバースパイ活動や企業ネットワークへのランサムウェア攻撃に悪用されてきた実績がある。Qilinによる今回の攻撃は、既知のFortinetの脆弱性が引き続き脅威アクターにとって有効な侵入手段であることを示している。適切なパッチ管理や脆弱性への迅速な対応の重要性があらためて求められている。